Dokumen IT legal [ditutup]

10

Saya telah bertanya-tanya minggu lalu ini karena bos besar saya mengatakan kepada saya untuk mulai melacak semua hal yang telah saya perbaiki, bagaimana cara memperbaikinya, dll. Tetapi kemudian muncul pertanyaan terkait. Dokumentasi apa yang harus saya miliki sejauh pengguna pergi. Lebih khusus saya berbicara dalam hal EULA, ToC, dll (tolong perbaiki saya jika saya menggunakan istilah yang salah) Atau lebih khusus kebijakan, jadi untuk berbicara, untuk pengguna dan semacamnya. Tidak bisa mengatakan saya seorang ahli hukum, kalau tidak saya akan menjadi pengacara. Lingkungan di mana pengguna berada cukup santai jadi saya tidak melihat masalah. Tetapi anggap bahwa seharusnya ada masalah, apa yang harus saya tulis / miliki?

EDIT: Saya benar-benar harus mencatat bahwa kami adalah fasilitas transportasi medis dan memiliki catatan pasien jadi saya tahu bahwa sesuatu harus dilakukan di sana untuk mematuhi kebijakan HIPAA yang saya percaya. Saya suka apa yang dikatakan anthonysomerset tentang Skenario "Jika saya naik bus" dan ingin menerapkannya tidak hanya pada dokumentasi yang saya tulis saat ini, tetapi juga jika mengatakan bahwa seorang karyawan mencuri informasi dari server atau kasing tepi, pencurian , dll. Sejauh staf kami, itu relatif kecil seperti dalam satu orang SDM, tidak ada departemen hukum selain dari 2 pengacara pemilik dan saya menjadi satu-satunya orang IT di staf dengan seorang pria yang tidak lebih dari superuser mac.

untagged Pembuat tabir
sumber
4
Saya pikir persyaratan dokumentasi hukum Anda akan sepenuhnya tergantung pada konteks apa Anda menggunakannya. Apakah Anda penyedia hosting yang membutuhkan dokumen untuk menampung pelanggan? Apakah Anda semacam penyedia layanan yang membutuhkan dokumen untuk pelanggan Anda? Apakah Anda seorang pria IT yang hanya ingin pengguna Anda mengikuti kebijakan?
GregD
Kami tidak meng-host apa pun saat ini, semua server hanya untuk pekerjaan internal dan dalam transportasi medis sehingga kami memiliki informasi pasien dan yang lainnya di server yang dapat diakses oleh operator dan karyawan kantor setiap hari. Seperti saya katakan, itu cukup santai dan para bos tidak terlalu peduli ketika karyawan ada di Facebook dan selama mereka melakukan pekerjaan mereka dengan benar.
Tablemaker
1
Maka dalam hal itu, saya akan berasumsi bahwa HIPAA akan menjadi dasar dokumentasi Anda. Karena itu, seseorang menyebutkan di bawah ini, dan saya akan tegaskan, itu mungkin bukan tanggung jawab TI untuk "dokumentasi hukum". Itu lebih baik diserahkan kepada manajemen / SDM.
GregD
Pertanyaan ini sangat di luar topik sekarang.
HopelessN00b

Jawaban:

10

Anda harus bekerja dengan atasan / orang SDM Anda untuk memiliki serangkaian kebijakan tertulis, yang diadopsi oleh penyelia, yang menguraikan bagaimana berbagai masalah ditangani dan apa yang diharapkan dari karyawan. Ini dapat bervariasi tergantung pada bisnis, tetapi pada dasarnya Anda akan memiliki dokumen yang menentukan apa yang diperbolehkan dan tidak pada jaringan Anda dan sistem komputer dan apa tindak lanjutnya (bagaimana perbaikan ditangani, apa yang dapat menyebabkan penghentian, dll) tindakan yang . Kemudian karyawan Anda diberikan materi sebagai bagian dari buku pegangan atau memo karyawan, mungkin untuk menandatangani dan menyimpannya.

Buatlah skenario yang harus Anda hadapi dalam hal penggunaan yang dapat diterima pada sistem komputer dan kemudian bicarakan dengan bos Anda tentang hal itu; kecuali Anda memiliki wewenang untuk memecat seseorang, Anda harus menggunakan bahasa kebijakan dengan kepala departemen atau pengawas lainnya. Jika Anda memiliki departemen hukum, Anda juga ingin menjalankannya melalui departemen hukum untuk memastikan Anda tidak menginjak masalah hukum yang melibatkan privasi atau pemutusan hubungan kerja di wilayah Anda.

Idealnya bisnis Anda sudah memiliki beberapa buku pegangan karyawan atau bahan-bahan yang harus disadari dan disangga oleh karyawan, sehingga mungkin ada beberapa gagasan tentang templat di sana yang dapat digunakan untuk Anda.

Bart Silverstrim
sumber
2
saya menulis hampir hal yang sama tetapi dipukuli untuk itu, hal lain adalah bahwa hal-hal yang dia minta Anda lakukan adalah klasik "jika saya tertabrak bus" dokumentasi untuk menutupi kesenjangan jika Anda karena alasan apa pun tidak ada lagi dapat memenuhi tugas Anda
anthonysomerset
+1 untuk alat peraga meja. Namun, dengan bos besar saya yang terus-menerus menjadi MIA ini akan sedikit lebih sulit daripada yang saya kira. Mereka benar-benar ingin saya untuk menghadirkan karyawan baru dengan AUP dan sejenisnya ketika yang pertama melakukan semua dokumentasi pendahuluan mereka (kesenangannya adalah) dalam bentuk berbasis web setelah saya mendapatkan semacam situs web dengan portal karyawan berjalan. Tidak terlalu yakin apakah dia memiliki buku pegangan literal, saya yakin dia setidaknya telah menandatangani dokumen di file mereka.
Tablemaker
4
Hanya ingin menambahkan bahwa sementara Anda harus bekerja dengan atasan / SDM Anda tentang hal ini bahwa bola ada di pengadilan mereka dan TI tidak dapat / tidak boleh menjadi kekuatan pendorong dalam hal kebijakan, itu harus dari pemilik bisnis / manajemen, jika tidak Anda hanya BOFH yang marah dan orang-orang tidak akan menghargai kebijakan Anda.
mtinberg
3

Kantor kami baru saja melewati ini. Namun kami harus mematuhi HIPAA. Kami mengambil kerangka kerja untuk standar IT kami dari versi online, dan menyempurnakannya. Saya pribadi menulis sebagian besar kebijakan. Seperti yang dikatakan @Bart Silverstrim, Anda harus bekerja dengan personel SDM Anda. Kami adalah tim dua orang untuk dokumen standar kami.

Itu tidak mudah. Lakukan secara perlahan dan metodis. Mulailah dengan rutinitas sehari-hari Anda, dan catat itu dalam daftar berpoin. Ada seluruh daftar ide, hanya contoh dari kami

  • Klasifikasi data
  • Manajemen Analisis Risiko
  • Id dan Akun
  • keamanan personel
  • Ubah log kontrol / audit
  • Perangkat keras dan perangkat lunak
  • BC / DR (setiap perusahaan harus memiliki ini terlepas)

Ada banyak lagi, itu semua tergantung pada seberapa jauh Anda ingin pergi.

Kami memiliki standar (aturan) ini untuk melindungi diri kami jika seseorang melanggar HIPAA. Jadi kita bisa mengatakan "hei, kita punya aturan-aturan ini, dan mereka yang melanggar"

Ini adalah kerangka kerja yang kami gunakan. Ini mungkin atau mungkin tidak bekerja untuk Anda juga.

RateControl
sumber
Hal-hal HIPAA pasti berlaku di sini karena kami adalah perusahaan transportasi medis dengan banyak info pasien yang diakses setiap hari.
Tablemaker
1
Oh wow, itu benar-benar menyebalkan :) kami tidak menangani klaim atau info pasien, jadi banyak HIPAA tidak berlaku bagi kami (untungnya). Mintalah pada penyedia untuk contoh-contoh dokumentasi mereka, kami bertanya pada kami dan mereka memberi kami sekumpulan itu.
RateControl
Jika Anda memerlukan bantuan lebih lanjut, cukup kirimkan email kepada saya (email di profil)
RateControl
Sebenarnya, jika Anda bisa memberi saya tautan untuk kerangka itu, itu akan sangat dihargai. :)
Tablemaker
membuat edit menjadi jawaban
RateControl
2

Kami sekarang memiliki empat dokumen yang kami gunakan:

  • Kebijakan Penggunaan yang Dapat Diterima - untuk siswa
  • Kebijakan Penggunaan yang Dapat Diterima - untuk staf pengajar / staf
  • Dokumen Pendidikan Hak Cipta - memenuhi persyaratan federal new-ish untuk ed yang lebih tinggi
  • Perjanjian Tingkat Layanan - merinci di mana tanggung jawab TI mulai dan berhenti, dan harapan untuk peningkatan layanan kami (masih dalam pengembangan, tapi saya berharap ini adalah proses yang tidak pernah berakhir bagi banyak orang).

Tentu saja kami menyimpan banyak catatan lain juga, tetapi ini tentang jumlah dokumen hukum publik.

Catatan pasien adalah ballgame lain, dan pertunjukan terakhir saya adalah di kantor penagihan medis. Tentu saja ada banyak peraturan tambahan yang harus Anda ikuti, tetapi satu-satunya dokumen hukum yang masih saya ingat adalah bahwa Anda harus mendapatkan dan menyimpan catatan resmi izin dari orang-orang sebelum Anda dapat membagikan "informasi pengenal pribadi" dengan pihak lain.

Joel Coel
sumber
1
Saya sangat menyukai hal SLA karena saya sudah didekati oleh beberapa orang yang meminta saya untuk datang ke rumah mereka untuk memperbaiki komputer pribadi mereka, mengatakan itu adalah pekerjaan saya (seperti, tidak akan memberi saya kompensasi untuk mengemudi atau waktu). Harus menyukainya xD.
Tablemaker
1
@ Shads0 - Yeah, satu-satunya kasus di mana yang akan pernah menjadi bagian dari pekerjaan Anda adalah jika Anda memiliki klien vpn yang Anda berikan dan dukungan. SLA membuktikan ini. Meski begitu, saya lebih suka hanya melakukan ini untuk laptop yang dikeluarkan perusahaan ketika saya bisa lolos begitu saja.
Joel Coel
1

Anda telah menerima beberapa saran hebat - beberapa pemikiran khusus untuk bidang medis (tidak semua yang terkait dengan IT, tetapi jika Anda menyimpan data pasien secara elektronik, ada BANYAK pendarahan):

  • Selain kerangka kerja Thoreau yang ditautkan di atas, Anda dapat menggunakan Standar Keamanan Data Industri Kartu Pembayaran (PCI DSS) sebagai panduan untuk mengamankan informasi pasien - di mana pun tertulis "informasi pemegang kartu" atau hal-hal serupa yang dilindungi oleh HIPAA, terutama PHI / ePHI.

  • Penting untuk memiliki dokumentasi yang cukup untuk membuktikan kepatuhan dengan prosedur keamanan yang wajar (membuktikan kepatuhan dengan bagian-bagian PCI-DSS yang relevan atau kerangka kerja lainnya).

  • Anda akan menginginkan pernyataan kepatuhan HIPAA dan kebijakan kepatuhan HIPAA (merinci siapa yang memiliki akses ke PH / ePHII, dalam kondisi apa, dll.).
    Bagian dari kebijakan ini harus mencakup cara Anda memverifikasi identitas pemohon informasi.
    Bagian terpisah dari kebijakan ini harus berurusan dengan bagaimana Anda melindungi cadangan Anda, informasi dalam perjalanan, dll.

  • Dari perspektif legal-covering-of-your-pantat Anda, Anda juga perlu (dan mungkin sudah memiliki) formulir kerahasiaan yang ditandatangani oleh siapa saja yang memiliki akses ke informasi itu - Di perusahaan saya, mereka ditinjau dan ditandatangani kembali setiap tahun pada tinjauan kinerja Anda.
    Pastikan ini cukup luas untuk mencakup ePHI (catatan elektronik).

voretaq7
sumber